Hacking Team verwendet UEFI-Rootkit

Mit einem speziellen Hintertür-Programm im UEFI-BIOS soll die Spionage-Software von Hacking Team sogar Neuinstallationen von Windows überlebt haben, berichtet Trend Micro.

In Pocket speichern vorlesen Druckansicht 266 Kommentare lesen
Hacking Team verwendet UEFI-Rootkit

(Bild: Trend Micro)

Lesezeit: 2 Min.

Dass sich prinzipiell im UEFI-BIOS Rootkits platzieren lassen, die auch eine komplette Neuinstallation des Systems überleben, war bekannt. Antiviren-Hersteller Trend Micro berichtet nun jedoch, dass Hacking Team anscheinend ein derart resistentes Spionage-Tool tatsächlich im Praxis-Einsatz hatte.

Demnach haben die AV-Spezialisten ein solches UEFI-Rootkit für Insyde BIOS gefunden; das ist eine vor allem bei Laptops verbreitete BIOS-Alternative zu AMI und Phoenix. Die Installation erfordert allerdings direkten Zugang zum Gerät, von dem man zunächst das BIOS dumpen, das Rootkit einbauen und dann das manipulierte BIOS auf das System flashen muss. Danach checkt das BIOS bei jedem Start, ob eine bestimmte Datei vorhanden ist (\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6To_60S7K_FU06yjEhjh5dpFw96549UU im User-Verzeichnis) . Findet es die nicht, wird der Rechner erneut damit infiziert.

Ein technisches Goodie am Rande: Um auf die Festplatte zugreifen zu können, hat Hacking Team anscheinend eigens einen NTFS-Treiber fürs UEFI-BIOS geschrieben; von Haus aus kann UEFI nur FAT/FAT32 und Joliet. Gemäß einer Mail von Hacking-Team-Mitarbeiter Serge unterstützt das UEFI-Rootkit folgende Notebooks

  • Dell Latitude 6320
  • Dell Precision T1600
  • Asus X550C
  • Asus F550C

Zusätzlich bietet die Installations-Routine aber auch noch an, sich maßgeschneiderte UEFI-Erweiterungen bauen zu lassen. Der beste Schutz gegen derartige Manipulationen ist die Aktivierung von UEFI Secure Boot und dem Passwort-Schutz fürs BIOS. Mal sehen, ob in den geleakten Daten von Hacking Team noch Informationen zum Vorschein kommen, wie sich das auch noch umgehen lässt. (ju)